Hacker konnten smarte Google-Lautsprecher als Wanzen nutzen

Smarte, sprachgesteuerte Google-Home- oder Google-Nest-Produkte sind weit verbreitet. Der Programmierer Matt Kunze ist im vergangenen Jahr auf eine Sicherheitslücke gestoßen, die es ihm erlaubte, Geräte wie Google Nest Mini als Wanze zu gebrauchen und damit Gespräche in den Wohnungen der Nutzer*innen unerkannt mitzuverfolgen. Kunze hat Google die Lücke gemeldet. Innerhalb weniger Tage wurde sie geschlossen, der Finder erhielt rund 100.000 Dollar Belohnung. In seinem Blog hat er erst jetzt beschrieben, wie genau er bei seinem Hack vorgegangen ist.

Volle Zugriffsrechte erhalten

Wie der GoogleWatchBlog beschreibt, hat Kunze den Umstand ausgenutzt, dass man bei den Google-Home-Geräten im selben WLAN relativ leicht neue Nutzer*innen anlegen konnte. Weil die Kommunikation zwischen Gerät und Smartphone mit Google-Home-App nicht vollständig verschlüsselt ablief, konnte man volle Zugriffsrechte erlangen und damit Aktionen ausführen, Befehle abrufen und das Mikrofon des Geräts steuern.

Audiostreams geheim übertragen

In einem kurzen Video zeigt der Programmierer, dass man das Gerät so manipulieren konnte, dass es Audiostreams per Anruf auf ein Smartphone übertrug - ohne dies auf irgendeine Art den eigentlichen Nutzer*innen zu signalisieren. Ob die Lücke bis zur Behebung aktiv ausgenutzt worden ist, ist unbekannt. Seit Jänner 2021 ist sie jedenfalls geschlossen.